Ako si zabezpečiť Linux – MSEC

Väčšina distribúcii Linuxu je už sama o sebe podstatne bezpečnejších než akýkoľvek iný operačný systém. Súvisí to hlavne s ich rozšírením, kedy sa jednoducho neoplatí hackerom vyrábať škodlivé programy na jednotlivé distribúcie. Napriek tomu existujú nástroje ktoré dokážu už tak vysokú bezpečnosť ešte navýšiť.

Pravdupovediac, málokto – a to aj spomedzi skúsených používateľov Linuxu – pozná tento šikovný nástroj MSEC. Je to škoda, pretože dokáže nastaviť bezpečnostnú politiku na serveri rovnako ako na počítači. A nie len to, dokáže ju nastaviť na veľmi špecifickú úroveň, takže systém bude plne vyhovovať dnešným bezpečnostným požiadavkám a zároveň aj požiadavkám použí­vateľov.

MSEC

MSEC je skratka pre Mandrake SECurity package. Ako už názov napovedá, vyvinula ho francúzska firma Mandrake, výrobca rovnomennej linuxovej distribúcie. Tá sa neskôr transformovala na Mandriva Linux, ktorá je v súčasnosti mŕtvou distribúciou. Na ňu nadviazali viaceré pokračovania napríklad Mageia, OpenMandriva linux, ktoré tiež prevzali program do svojho portfólia. Popritom si ho čiastočne modifikovali, vďaka čomu je možné nájsť rozdiely vo verziách pre jednotlivé distribúcie. V podstate to však stále zostáva pôvodný MSEC.

MSEC je založený na celkom inom princí­pe ako často použí­vaný a  americkou NSA odporúčaný SElinux. V podstate je SElinux patch na obyčajný kernel (jadro operačného systému), zatiaľ čo MSEC je samostatný program, ktorý použí­va na zabezpečenie systému štandardné vlastnosti OS Linux.

Inštalácia a stiahnutie

Inštalácia je jednoduchá ako pri väčšine balí­čkov, ktoré sa nachádzajú v repozitároch. V tomto prí­pade (OpenMandriva linux) sa inštaluje prí­kazom: # urpmi msec. Na túto inštaláciu je však potrebné mať administrátorské práva. V prípade Mageia linuxu inštaláciu môžeme vynechať, tam je totiž MSEC súčasťou štandardnej konfigurácie. Na novom systéme ho musí­me len nastaviť, ako (a či vôbec) ho chceme použí­vať. Často býva zapnutý a prednastavený východiskovo.

Práca s programom

msec-overview

MSEC sa dá použí­vať z prí­kazového riadka rovnako dobre ako pomocou grafického rozhrania. Závisí­ iba od preferencií používateľa­, čomu dáva prednosť. Na hlavnej stránke nástroj ponúka nastavenie firewallu a aktualizácií­. Na rovnakom mieste sú aj tlačidlá na zobrazenie výsledkov posledného auditu zariadenia. Dajú sa spúšťať aj jednotlivé úrovne kontroly – denná a mesačná. Ďalšie okná programu si predstaví­me nižšie.

Basic security

msec-basic

Na tejto záložke nájdeme voľbu na samotné spustenie či vypnutie nástroja. Ak sa ho rozhodneme použí­vať, máme na výber tieto základné bezpečnostné úrovne:

 standard

 netbook

 fileserver

 netserver

 secure

 audit daily

 audit monthly

Každý z nich má priradený stručný popis, stačí­ si teda vybrať a kliknúť naň. Samozrejme, sú prispôsobiteľné našim požiadavkám, ako uvidí­me ďalej. Všimnime si voľbu povoľujúcu MSEC-u oznamovať porušenie nastavených bezpečnostných nastavení­ vyskakovací­mi oknami v grafickom uží­vateľskom prostredí­ (KDE? GNOME a pod.). Táto funkcia opäť závisí od preferencií používateľa, keďže mnoho ľudí považuje tieto vyskakovacie okná za rušivé.

System security

msec-system

Základná konfigurácia bezpečnosti systému sa nastavuje práve v tomto module. Každá voľba je krátko opí­saná, takže ak sa použí­vateľ dokáže v Linuxe orientovať, nemal by naraziť na problémy s ich nastavení­m. Po kliknutí­ na niektorú z konfigurácií sa dá následne vybrať, čo a ako si prajeme nastaviť.

Keďže povoliť použí­vateľom systému robiť všetko nie je ten najlepší­ nápad, nastavujeme si tu aj požiadavky bezpečnosti pre jednotlivých použí­vateľov systému. Od povolenia na reštart systému až po požiadavky na zložitosť hesla.

Network security

msec-network

V rámci tohto modulu si vieme nastaviť naprí­klad vzdialené povolenie rootovského prihlásenia, zapnúť/vypnúť ochranu pred spoofingom atď. Zoznam nie je taký obsiahly ako predošlý, pokrýva však väčšinu bežne použí­vaných bezpečnostných nastavení.

Periodic checks

msec-periodic

MSEC nám dovoľuje nastaviť si, čo a v akej periodicite z hľadiska bezpečnosti chceme nechať v systéme skontrolovať. Každý používateľ si dokáže vytvoriť mnoho rozumných kombinácií­ práve v tomto okne, pričom skúsenosti so správou Linuxu sú tu veľkou výhodou.

Exceptions

Je len na použí­vateľovi, či sa rozhodne ubrať zo svojich nárokov na bezpečnosť, práve toto nám MSEC ponúka vo výnimkách.

Práva

msec-permission

Účelom tohto modulu je centrálna správa úrovne práv pre jednotlivé adresáre a použí­vateľov. Pozor na zaškrtávacie okno “Enforce”, ak je aktivované, budú vami nastavené práva pre jednotlivé adresáre vynútené systémom silou. Čiže použí­vatelia môžu byť neprí­jemne prekvapení­, keď po novom prihlásení­ stratia práva na súbor, ktorý si sami vytvorili pri predošlom sedení­. Táto možnosť teda vyžaduje určité znalosti systému a nie je vhodné s ňou pracovať, ak človek presne nemá dostatočné znalosti o týchto nastaveniach.

Samozrejme, pod správu MSEC sa dajú pridávať aj ďalšie (použí­vateľmi vybraté) adresáre. Za zmienku stojí­ aj možnosť nastavenia ACL (Access control list – rozšírené udeľovanie prístupových právomocí) ale toto využijú zrejme len pokročilejší­ používatelia, ktorí­ už majú viac skúseností. Pre ostatných tak stačí­ UGO (User/owner – Groups – Others, základné rozdeľovanie právomocí), ktorý je unixovým štandardom už desaťročia.

MSEC je veľmi kvalitný a silný nástroj na nastavenie a udržanie požadovanej bezpečnostnej úrovne na OS linux. Zatiaľ čo skúsenejší­m použí­vateľom prináša veľa možností­, tým druhým môže priniesť veľa problémov, ak prácu s ní­m nezvládnu. Pre začiatočníkov sa tak odporúča buď ponechať východiskové nastavenia, alebo si danú problematiku doštudovať a následne si zabezpečiť systém. Isté je len to, že MSEC to dokáže s prehľadom a bez problémov.

(MK)